Depuis des années, les développeurs et chercheurs en sécurité fournissent des recommandations à Apple pour intégrer les événements TCC au sein du cadre de Sécurité des points d’accès (ES). Cela permettrait de tracer directement une demande TCC à l’application spécifique (ou au logiciel malveillant) qui l’a déclenchée, offrant ainsi une protection en temps réel, contrairement à la méthode actuelle qui repose sur l’analyse des journaux système.
La bonne nouvelle, c’est qu’Apple a enfin commencé à mettre cela en œuvre dans macOS 15.4.
La mauvaise nouvelle? Certaines fonctionnalités sont encore perfectibles.
Dans l’écosystème d’Apple, TCC (Transparence, Consentement et Contrôle) est un sous-système essentiel qui demande aux utilisateurs de permettre, limiter ou refuser l’accès des différentes applications à des données sensibles ou à des fonctionnalités intégrées comme le microphone et la caméra. Son but principal est d’offrir aux utilisateurs une transparence sur la manière dont leurs données sont accès et utilisées par les applications.
Idéalement, cela devrait protéger les utilisateurs. Cependant, les auteurs de logiciels malveillants savent que les utilisateurs sont souvent enclins à appuyer sur « Autoriser », et exploitent souvent cette faiblesse pour tromper les utilisateurs dans des approbations d’accès non souhaitées.
Jusqu’à présent, la détection d’événements TCC malveillants était assez limitée. Les outils de sécurité ne pouvaient pas les observer directement en temps réel. Ils devaient plutôt analyser les journaux pour déterminer si un événement malveillant avait eu lieu, souvent bien après que les dégâts aient été causés.
Comme l’a noté Patrick Wardle d’Objective-See, créateur de plusieurs outils de sécurité Mac populaires, Apple a discrètement ajouté des événements TCC à son cadre de sécurité des points d’accès dans la dernière bêta de macOS 15.4.
Ce nouvel identifiant ES_EVENT_TYPE_NOTIFY_TCC_MODIFY informe la sécurité des points d’accès qu’un prompt TCC a été déclenché. Cela pourrait enfin donner aux outils de sécurité tiers les moyens nécessaires pour surveiller les demandes de permission en temps réel et relier les demandes à l’application qui les a effectuées.
Wardle souligne que « la majorité des malwares sur macOS contournent TCC grâce à l’approbation explicite de l’utilisateur; il serait donc incroyablement utile pour tout outil de sécurité de pouvoir détecter cela, et potentiellement outrepasser la décision risquée de l’utilisateur. » Avant cela, la meilleure (et unique?) option consistait à ingérer des messages de journaux générés par le sous-système TCC.
Tout comme Apple a précédemment intégré des événements Gatekeeper au cadre ES dans macOS 13 Ventura, permettant aux outils de sécurité d’accéder au processus décisionnel de Gatekeeper concernant l’ouverture ou le blocage d’applications selon la politique établie, l’ajout d’événements TCC à la sécurité des points d’accès est une avancée importante. Cependant, comme Wardle le précise, il y a encore des nuances; cela ne capture peut-être pas tous les détails utiles, peut se comporter de manière incohérente et sa visibilité actuelle est insuffisante pour un usage pratique. Il est essentiel de noter que cette fonctionnalité a été récemment ajoutée à la version bêta de macOS 15.4, qui sera lancée largement le mois prochain. On peut donc espérer qu’Apple parvienne à résoudre la plupart des problèmes d’ici là.
Pour des analyses techniques approfondies, consultez le blog d’Objective-See.
